(Dân trí) - Trong vài ngày gần đây, trên mạng Internet xuất hiện sâu mới W32.LeenaBdll.Worm, có tốc độ lây lan cực nhanh. Người dùng rất dễ bị nhiễm loại virút này qua thư rác, qua các trang web và đặc biệt là lây qua USB với tốc độ lây nhiễm cấp số nhân.

vậy có cách nào diệt nó không bạn

Virut loại này BKAV cũng trị được nó rồi ko cần phải dùng phần mềm diệt virut mạnh hơn nhưng mà tốc độ lây lan của nó đúng là cực nhanh nhưng ko nguy hại gì nó chỉ lây qua USB nhanh ***ng thôi chỉ cần bỏ USB vào là nó ăn liền!

Hix nghe sợ quá nhỉ ? Em thường hay xài USB lắm

Nói chứ đừng xem thường nó nhé tuy nó như thế nhưng tốc độ nguy hiểm nó rất nhanh và rất cao
mymychu thì không rành về Virus nên rất sợ nó hỡ bị thì tìm nhanh chương trình về diệt nó liền ...Còn những ai rành về Virus hay viết virus nhu xuly01 nè bạn ấy rất chuyên về virus có gì hỏi xuly01 thêm.
còn ở đây mymychu sẽ đăng các kloại virus trên và cách khắc phục nó cho các bạn

Cách diệt sâu W32.Dizan.D

Kiểu: Worm

Có kick thước khoảng: 1,781,248 bytes

Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

khởi tạo một số file

· %UserProfile%\Local Settings\Temp\Flu Burung.txt

· C:\Recycled\CTFMON.EXE

· C:\Recycled\desktop.ini

· C:\Recycled\SMSS.EXE

· C:\recycled\SPOOLSV.EXE

· C:\recycled\SVCHOST.EXE

· C:\WINDOWS\Fonts\ Explorer.exe

· C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\docicon.exe

· C:\WINDOWS\system32\mmc.exe

Nó sẽ thêm một số file vào toàn bộ ổ cứng

· · [DRIVE LETTER]\recycled\CTFMON.EXE

· [DRIVE LETTER]\recycled\desktop.ini

· [DRIVE LETTER]\recycled\SMSS.EXE

· [DRIVE LETTER]\recycled\SPOOLSV.EXE

· [DRIVE LETTER]\recycled\SVCHOST.EXE

Nó sẽ lây nhiễm vào toàn bộ những file Word và sẽ ẩn toàn bộ đi

Nó sẽ ghi đè toàn bộ dữ liệu với tên giống như tên file và có đuôi mở rộng là SCR

HKEY_ALL_USERS\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\recycled\SVCHOST.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\WINDOWS\Fonts\ Explorer.exe""

The virus then creates the following service:
Display Name: Smart Card Supervisor
Image Path: C:\WINDOWS\system32\mmc.exe
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mmc

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ENUM\ROOT\LEGACY_MMC

Sẽ thêm và regedit một số khóa sau
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon\"" = "C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon\"" = "C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\docicon.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "0"


Những khuyến cáo:

- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :

Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.

- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.

- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.

- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).

- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.

- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet

Cách diệt:

1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất

Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0

Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0

3. Chạy và quét toàn bộ hệ thống.

a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.

b. Chạy một hệ thống đầy đủ và quét

1. Bạn và run

2. gõ regedit

3. Bạn hãy tìm đến khóa sau

4. HKEY_ALL_USERS\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\recycled\SVCHOST.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\WINDOWS\Fonts\ Explorer.exe""

5. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon\"" = "C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon\"" = "C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\docicon.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "0"

6. Tĩm đến khóa sau và xóa đi

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mmc
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ENUM\ROOT\LEGACY_MMC

7. Thoát khỏi regedit




Cách diệt sâu VBS.Nokrupt

Kiểu: Worm

Có kick thước khoảng: : 6,918 bytes

Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

%Windir%TTMS[M][D].dll.vbs

Nó sẽ tạo vào regedit một khóa sau và sẽ chạy cùng mỗi khi Windows khởi động
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"MSConfig" = [PATH TO VBS EXECUTABLE]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MSConfig" = [PATH TO VBS EXECUTABLE]

The worm then modifies the following registry entries to lower security settings:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyServer" = "0.0.0.0:80"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Connection Settings\"Connwiz Admin Lock" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
Nó sẽ tạo vào regedit một khóa sau và thêm vào thanh tiêu đề

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"="TTMS NAA NA DIRI, DON'T WORRY I'M NOT A CORRUPT LIKE YOU!"

Những khuyến cáo:


- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :

Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.

- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.

- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.

- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).

- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.

- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet

Cách diệt:

1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất

Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0

Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0

3. Chạy và quét toàn bộ hệ thống.

a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.

. Chạy một hệ thống đầy đủ và quét

Bạn và regedit sau đó chỉnh sửa và xóa đi

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"MSConfig" = [PATH TO VBS EXECUTABLE]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MSConfig" = [PATH TO VBS EXECUTABLE]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyServer" = "0.0.0.0:80"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Connection Settings\"Connwiz Admin Lock" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"="TTMS NAA NA DIRI, DON'T WORRY I'M NOT A CORRUPT LIKE YOU!"

Thóat khỏi regedit
\




Cách diệt Trojan.Perfcoo

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

%System%\perfc000.dat

Nó sẽ tạo vào regedit một khóa sau và sẽ chạy cùng mỗi khi Windows khởi động
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\perfc000.dat"
Nó sẽ tạo vào regedit một khóa sau

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AdversCalls\"TimeOne" = "[DWORD_VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AdversCalls\"TimeTwo" = "[DWORD_VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crtfmon" = "[CURRENT_FOLDER]\[TROJAN_EXE]"
Trojan sử dụng kỹ thuật Rootkit để kết nối một số hàm Api mỗi khi tải xuống một phiên bản


ntdll.dll - LdrLoadDll
ws2_32.dll - connect
ws2_32.dll - send
ws2_32.dll – WSAConnect


Nó sẽ tự chặn kết nối mạng Internet của hệ thống



Những khuyến cáo:

- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :

Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.

- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.

- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.

- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).

- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.

- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet

Cách diệt:

1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất

Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0

Hoặc Norton AntiVirus 2007, Symantec AntiVirus Corporate Ọdition 9.0

3. Chạy và quét toàn bộ hệ thống.

a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.

b. Chạy một hệ thống đầy đủ và quét

Cách đơn giản nhất là dùng phần mềm của nước ngoài
Các bạn có thể dùng AVG được download và sử dụng miễn phí tại http://download.com
Hoặc bạn cũng có thể dùng các phần mềm mạnh hơn như spyware doctor , noter antivi-rus , WinD32
tất cả đều là phần mềm rất mạnh các bản path hoặc crack đều có trêu google nếu như bạn chịu khó tìm kiếm